DBA锅背定了！数据库没有密码保护3100万用户信息泄漏

该应用程序制造商的数据库居然没有加密码保护，因此暴露了用户最私密的信息。

一款流行虚拟键盘应用的3100多万名用户的个人数据在网上泄露，此前该应用的开发者未能保护服务器上的数据库。

该服务器由AI.type的联合创始人Eitan Fitusi拥有，AI.type一个可定制和个性化的虚拟屏幕键盘，在全球拥有超过4000万用户。

但服务器没有密码保护，任何人都可以访问该公司的用户记录数据库，总计保存有超过577GB的敏感数据。

该数据库似乎只包含Android用户的记录。

这一发现是由Kromtech安全中心的安全研究人员发现的，该中心公布了有关的详细信息。这一数据是在几次试图联系Fitusi之后获得的。Fitusi在这个周末承认了安全漏洞。服务器已经安全了，但当我们要求评论时，Fitusi没有回应。

笔者获得了数据库的一部分来验证。

每个记录包含一些基本的采集数据，包括用户的全名，电子邮件地址，以及应用程序安装了多少天。每个记录还包括一个用户的精确位置，包括他们的城市和国家。

其他记录则要详细得多。这款应用程序有一个免费版本，它的隐私策略收集的数据比付费版本的更多，而付费版本则是公司用来将广告收入货币化的。

更完整的记录还包括设备的IMSI和IMEI号码，设备的制作和型号，屏幕分辨率，以及设备的具体Android版本。

大部分记录还包括用户的电话号码和他们手机供应商的名字，在某些情况下，他们的IP地址和他们的互联网供应商的名字如果连接到wi-fi。许多记录包含用户公开谷歌的详细信息，包括电子邮件地址、出生日期、性别和个人资料照片。

我们还发现了几张从用户的手机上上传的联系数据表。其中一张表列出了1070万个电子邮件地址，另一张则包含37460万个电话号码。目前还不清楚这款应用在用户手机上上传电子邮件地址和电话号码的原因。

有几张表包含了安装在用户设备上的每个应用程序的列表，比如银行应用程序和约会应用程序。

屏幕上的键盘有广泛的访问权限，这并不罕见。Android将警告用户，键盘“可能会收集你输入的所有文本，包括个人数据，比如密码和信用卡号码。”“人工智能。类型也不例外，可以读取联系人数据、文本消息、照片和视频访问以及其他的本地存储、录制音频和完整的网络访问。

就其本身而言,人工智能。Ai.type在其网站上说，用户的隐私是我们最关心的问题。该公司表示:“键盘上输入的任何文本都是加密和保密的。”

但数据库没有加密。我们还发现，在键盘上输入的文本确实会被公司记录和存储，但在多大程度上仍不清楚。

该公司还承诺“永远不会分享你的数据或从密码字段,“但我们看到一个表包含超过860万个条目的文本使用键盘输入,包括私人和敏感信息,如电话号码、web搜索条件,在某些情况下连接电子邮件地址和对应的密码。

Kromtech安全中心的通讯主管鲍勃·迪亚琴科(Bob Diachenko)警告说，使用免费应用程序的危险。

从理论上讲，任何人下载并安装人工智能都是合乎逻辑的。他t说:“他们手机上的虚拟键盘上的所有手机数据都是在网上公开的。”“这对网络犯罪分子构成了真正的危险，他们可能会利用有关用户的详细信息进行诈骗或诈骗。”

他补充说:“这再次引发了这样一个问题，即消费者提交自己的数据以换取免费或打折的产品或服务，以换取对他们设备的充分访问，这是非常值得的。”

他说:“很明显，数据是有价值的，而且每个人都希望得到它，原因不同。”“有些人想出售他们收集的数据，其他人则用它来进行有针对性的营销，预测人工智能，而网络犯罪分子想用它来以更有创意的方式赚钱。”

原文来自:云技术实践

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com